Есть DES-3526.
Необходимо настроить несколько АЦЛов, хотелось бы сделать так чтобы создать 3 профиля
1) блокируются некоторые ИП полностью
2) блокируются указанные порты src или dst TCP для всех
3) блокируются указанные порты src или dst UDP для всех
Правил на полное запрещение быть не должно.
Возможно ли это ?
Делаю вот так:
1)create access_profile ip source_ip_mask 255.255.128.0 destination_ip_mask 255.255.128.0 udp src_port_mask 0xFFFF dst_port_mask 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 192.168.1.24 port 1 deny

2) create access_profile ip source_ip_mask 255.255.128.0 destination_ip_mask 255.255.128.0 tcp src_port_mask 0xFFFF dst_port_mask 0xFFFF profile_id 2
config access_profile profile_id 2 add access_id 1 ip tcp dst_port 3050 port 1 deny

3) create access_profile ip source_ip_mask 255.255.128.0 destination_ip_mask 255.255.128.0 udp src_port_mask 0xFFFF dst_port_mask 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id 1 ip udp dst_port 123 port 1 deny

Однако правило по фильтрации портов не работает =( Что я не так делаю ? Подскажите пожалуйста.

А где в правилах указанные параметры в профилях? Не хватает destination IP, source port и destination port в первом правиле и т.д.

А как указать любой destination IP, source port, destination port ? или просто их убрать из самого профиля ?

Маска в профиле должна быть 0.0.0.0 или 0x0000, а в правиле можно указать любой IP-адрес или порт.

А не 0хFFFF должна быть у порта ?
create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 tcp src_port_mask 0x0 dst_port_mask 0xFFFF profile_id 11
Создали профиль в котором source_ip, destination_ip, src_port любой а dst_port любой и мы его можем задовать так ?
config access_profile profile_id 11 add access_id 1 ip tcp dst_port 3050 port 1 deny
Соответсвенно все пакеты по профилю попали в цепочку и далее пошли в фильтрацию по правилам. Здесь натыкаются на запрет на порт 3050. Значит все пакеты которые будут иметь в dst_port 3050 будут дропаться так ?

Вы спросили как задать любой порт, т.е. все сразу. А если надо указать конкретный то здесь маска 0xFFFF.

Спрошу тогда прямо как мне задать пункт 2й самого первого вапроса, как написать правило профиля и сам профиль ?
2) блокируются указанные порты src или dst TCP для всех

create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 tcp src_port_mask 0x0 dst_port_mask 0xFFFF profile_id 2
config access_profile profile_id 2 add access_id 1 ip tcp dst_port 3050 port 1 deny

Результат: Все TCP пакеты с любым src_port и dst_port попадают под этот профиль, и если они имеют dst_port 3050 то они дропаются на 1м порту. Все остальные пакеты идут далее, переходя к следующим профилям или правилам.
Так ?

Проще всего так:

create access_profile tcp dst_port_mask 0xFFFF profile_id 2
config access_profile profile_id 2 add access_id 1 ip tcp dst_port 3050 port 1 deny

Спасибо, всё заработало так как нужно.